VLAN sú všade. Nájdete ich vo väčšine organizácií so správne nakonfigurovanou sieťou. V prípade, že to nebolo zrejmé, VLAN je skratka pre „virtuálnu lokálnu sieť“ a sú všadeprítomné v každej modernej sieti, ktorá presahuje veľkosť malej domácej alebo veľmi malej kancelárskej siete.
Existuje niekoľko rôznych protokolov, z ktorých mnohé sú špecifické pre daného dodávateľa, ale v podstate každá VLAN robí to isté a výhody škálovania VLAN, keď sa veľkosť vašej siete a organizačná zložitosť zväčšujú.
Tieto výhody sú veľkou súčasťou toho, prečo sa na siete VLAN tak veľmi spoliehajú profesionálne siete všetkých veľkostí. V skutočnosti by bolo ťažké spravovať alebo škálovať siete bez nich.
Výhody a škálovateľnosť sietí VLAN vysvetľujú, prečo sa stali takými všadeprítomnými v moderných sieťových prostrediach. Bolo by ťažké spravovať alebo škálovať aj stredne zložité siete s používateľom VLAN.
Čo je to VLAN?
Dobre, skratku teda poznáte, ale čo presne je VLAN? Základný koncept by mal poznať každý, kto pracoval alebo používal virtuálne servery.
Zamyslite sa na chvíľu, ako fungujú virtuálne stroje. Viacero virtuálnych serverov sa nachádza v rámci jedného fyzického hardvéru, na ktorom je spustený operačný systém a hypervízor na vytváranie a spúšťanie virtuálnych serverov na jedinom fyzickom serveri. Prostredníctvom virtualizácie ste schopní efektívne premeniť jeden fyzický počítač na viacero virtuálnych počítačov, z ktorých každý je k dispozícii pre samostatné úlohy a používateľov.
Virtuálne siete LAN fungujú v podstate rovnakým spôsobom ako virtuálne servery. Jeden alebo viacero riadených prepínačov spúšťa softvér (podobný softvéru hypervízora), ktorý umožňuje prepínačom vytvárať viaceré virtuálne prepínače v rámci jednej fyzickej siete.
Každý virtuálny prepínač je vlastnou samostatnou sieťou. Hlavný rozdiel medzi virtuálnymi servermi a virtuálnymi sieťami LAN je v tom, že virtuálne siete LAN môžu byť distribuované cez viaceré fyzické časti hardvéru pomocou určeného kábla nazývaného kmeň.
Ako to funguje
Predstavte si, že prevádzkujete sieť pre rastúci malý podnik, pridávate zamestnancov, delíte sa na samostatné oddelenia a stávate sa komplexnejšími a organizovanejšími.
Aby ste reagovali na tieto zmeny, inovovali ste na 24-portový prepínač, aby ste mohli v sieti prispôsobiť nové zariadenia.
Môžete zvážiť iba privedenie ethernetového kábla ku každému novému zariadeniu a zavolanie úlohy ako dokončenej, ale problémom je, že úložisko súborov a služby používané každým oddelením musia byť oddelené. VLAN sú na to najlepším spôsobom.
V rámci webového rozhrania prepínača môžete nakonfigurovať tri samostatné siete VLAN, jednu pre každé oddelenie. Najjednoduchší spôsob, ako ich rozdeliť, je podľa čísel portov. Môžete priradiť porty 1-8 prvému oddeleniu, porty 9-16 druhému oddeleniu a nakoniec porty 17-24 g poslednému oddeleniu. Teraz ste organizovali svoju fyzickú sieť do troch virtuálnych sietí.
Softvér na prepínači dokáže riadiť prevádzku medzi klientmi v každej VLAN. Každá VLAN funguje ako vlastná sieť a nemôže priamo interagovať s ostatnými VLAN. Teraz má každé oddelenie svoju vlastnú menšiu, menej preplnenú a efektívnejšiu sieť a všetky ich môžete spravovať pomocou rovnakého hardvéru. Ide o veľmi efektívny a nákladovo efektívny spôsob správy siete.
Keď potrebujete, aby oddelenia boli schopné vzájomnej interakcie, môžete im to zabezpečiť prostredníctvom smerovača v sieti. Router môže regulovať a kontrolovať prevádzku medzi sieťami VLAN a presadzovať prísnejšie bezpečnostné pravidlá.
V mnohých prípadoch budú musieť oddelenia spolupracovať a vzájomne sa ovplyvňovať. Komunikáciu medzi virtuálnymi sieťami môžete implementovať prostredníctvom smerovača, pričom nastavíte bezpečnostné pravidlá pre zaistenie vhodnej bezpečnosti a súkromia jednotlivých virtuálnych sietí.
VLAN vs. podsieť
VLAN a podsiete sú v skutočnosti dosť podobné a slúžia podobným funkciám. Podsiete aj VLAN rozdeľujú siete a vysielacie domény. V oboch prípadoch môže dôjsť k interakciám medzi pododdeleniami iba prostredníctvom smerovača.
Rozdiely medzi nimi sú vo forme ich implementácie a v tom, ako menia štruktúru siete.
Podsieť IP adresy
Podsiete existujú na vrstve 3 modelu OSI, sieťovej vrstve. Podsiete sú konštrukciou na úrovni siete a sú ovládané smerovačmi, ktoré sa organizujú podľa adries IP.
Smerovače vyčleňujú rozsahy adries IP a vyjednávajú medzi nimi spojenia. To kladie všetok stres správy siete na smerovač. Podsiete sa tiež môžu skomplikovať, keď sa veľkosť a zložitosť vašej siete zväčší.
VLAN
VLAN nachádzajú svoj domov na vrstve 2 modelu OSI. Úroveň dátového spojenia je bližšie k hardvéru a je menej abstraktná. Virtuálne siete LAN emulujú hardvér fungujúci ako jednotlivé prepínače.
Virtuálne siete LAN sú však schopné rozbiť vysielacie domény bez toho, aby sa museli pripájať späť k smerovaču, čím sa zo smerovača odstránia niektoré administratívne záťaže.
Pretože siete VLAN sú ich vlastné virtuálne siete, musia sa správať tak, ako keby mali vstavaný smerovač. Výsledkom je, že siete VLAN obsahujú aspoň jednu podsieť a môžu podporovať viacero podsietí.
VLAN distribuujú zaťaženie siete a. viacero prepínačov dokáže zvládnuť prevádzku v rámci sietí VLAN bez zapojenia smerovača, čím je systém efektívnejší.
Výhody VLAN sietí
Teraz ste už videli niekoľko výhod, ktoré VLAN prinášajú. Už len na základe toho, čo robia, majú siete VLAN množstvo cenných atribútov.
VLAN pomáhajú s bezpečnosťou. Rozdelenie prevádzky obmedzuje akúkoľvek možnosť neoprávneného prístupu k častiam siete. Pomáha tiež zastaviť šírenie škodlivého softvéru, ak by si nejaký našiel cestu do siete. Potenciálni votrelci nemôžu používať nástroje, ako je Wireshark, na snímanie paketov kdekoľvek mimo virtuálnej siete LAN, na ktorej sa nachádzajú, čím obmedzujú aj túto hrozbu.
Efektivita siete je veľká vec. Implementácia VLAN môže ušetriť alebo stáť firmy tisíce dolárov. Rozdelenie vysielacích domén výrazne zvyšuje efektivitu siete obmedzením počtu zariadení zapojených do komunikácie naraz. VLAN znižuje potrebu nasadenia smerovačov na správu sietí.
Sieťoví inžinieri sa často rozhodnú budovať virtuálne siete LAN na základe jednotlivých služieb, pričom oddeľujú dôležitú alebo sieťovo náročnú prevádzku, ako je napríklad sieť SAN (Storage Area Network) alebo hlas cez IP (VOIP). Niektoré prepínače tiež umožňujú správcom uprednostňovať siete VLAN, čím poskytujú viac zdrojov náročnejšej a chýbajúcej kritickej prevádzke.
Bolo by hrozné, keby bolo potrebné vybudovať nezávislú fyzickú sieť na oddelenie prevádzky. Predstavte si tú spletitú spleť kabeláže, s ktorou by ste museli bojovať, aby ste urobili zmeny. To nehovorí nič o zvýšených nákladoch na hardvér a spotrebe energie. Bolo by to tiež divoko nepružné. VLAN riešia všetky tieto problémy virtualizáciou viacerých prepínačov na jednom hardvéri.
Siete VLAN poskytujú správcom siete vysoký stupeň flexibility prostredníctvom pohodlného softvérového rozhrania. Povedzme, že dve oddelenia si vymenia kancelárie. Musí sa IT personál pohybovať okolo hardvéru, aby sa prispôsobil zmene? Nie. Môžu jednoducho priradiť porty na prepínačoch správnym sieťam VLAN. Niektoré konfigurácie VLAN by to ani nevyžadovali. Dynamicky by sa prispôsobovali. Tieto siete VLAN nevyžadujú priradené porty. Namiesto toho sú založené na adresách MAC alebo IP. Tak či onak, nie je potrebné prehadzovať prepínače ani káble. Je oveľa efektívnejšie a nákladovo efektívnejšie implementovať softvérové riešenie na zmenu umiestnenia siete ako presúvať fyzický hardvér.
Statické vs. dynamické siete VLAN
Existujú dva základné typy sietí VLAN, kategorizované podľa spôsobu, akým sú k nim stroje pripojené. Každý typ má silné a slabé stránky, ktoré by sa mali brať do úvahy na základe konkrétnej situácie v sieti.
Statická VLAN
Statické siete VLAN sa často označujú ako VLAN založené na portoch, pretože zariadenia sa pripájajú pripojením k priradenému portu. V tejto príručke boli zatiaľ ako príklady použité iba statické siete VLAN.
Pri nastavovaní siete so statickými VLAN by inžinier rozdelil prepínač podľa jeho portov a priradil každý port k VLAN. Každé zariadenie, ktoré sa pripojí k tomuto fyzickému portu, sa pripojí k tejto VLAN.
Statické siete VLAN poskytujú veľmi jednoduché a ľahko konfigurovateľné siete bez prílišnej závislosti od softvéru. Je však ťažké obmedziť prístup v rámci fyzického umiestnenia, pretože jednotlivec sa môže jednoducho pripojiť. Statické siete VLAN tiež vyžadujú správcu siete, aby zmenil priradenie portov v prípade, že niekto v sieti zmení fyzické umiestnenie.
Dynamická VLAN
Dynamické siete VLAN sa vo veľkej miere spoliehajú na softvér a umožňujú vysoký stupeň flexibility. Správca môže priradiť MAC a IP adresy konkrétnym VLAN, čo umožňuje neobmedzený pohyb vo fyzickom priestore. Stroje v dynamickej virtuálnej sieti LAN sa môžu pohybovať kdekoľvek v sieti a zostať na rovnakej VLAN.
Aj keď sú dynamické siete VLAN neprekonateľné z hľadiska prispôsobivosti, majú niekoľko vážnych nevýhod. Špičkový prepínač musí prevziať úlohu servera známeho ako VLAN Management Policy Server (VMPS (na ukladanie a doručovanie informácií o adresách ostatným prepínačom v sieti. VMPS, ako každý server, vyžaduje pravidelnú správu a údržbu). a podlieha možným prestojom.
Útočníci môžu podvrhnúť MAC adresy a získať prístup k dynamickým sieťam VLAN, čím pridajú ďalšiu potenciálnu bezpečnostnú výzvu.
Nastavenie VLAN
Čo potrebuješ
Existuje niekoľko základných položiek, ktoré potrebujete na nastavenie VLAN alebo viacerých VLAN. Ako už bolo uvedené, existuje množstvo rôznych štandardov, ale najuniverzálnejším je IEEE 802.1Q. To je ten, ktorý bude nasledovať tento príklad.
Router
Technicky na nastavenie VLAN nepotrebujete smerovač, ale ak chcete, aby interagovalo viacero sietí VLAN, budete potrebovať smerovač.
Mnoho moderných smerovačov podporuje funkčnosť VLAN v tej či onej forme. Domáce smerovače nemusia podporovať VLAN alebo ju podporujú len v obmedzenej kapacite. Vlastný firmvér ako DD-WRT ho podporuje dôkladnejšie.
Keď už hovoríme o zvyku, na prácu s vašimi virtuálnymi sieťami LAN nepotrebujete štandardný smerovač. Vlastný firmvér smerovača je zvyčajne založený na operačnom systéme typu Unix, ako je Linux alebo FreeBSD, takže si môžete vytvoriť svoj vlastný smerovač pomocou jedného z týchto operačných systémov s otvoreným zdrojom.
Všetky funkcie smerovania, ktoré potrebujete, sú k dispozícii pre Linux a inštaláciu systému Linux si môžete prispôsobiť tak, aby váš smerovač vyhovoval vašim špecifickým potrebám. Ak chcete niečo, čo má viac funkcií, pozrite sa na pfSense. pfSense je vynikajúca distribúcia FreeBSD postavená ako robustné riešenie smerovania s otvoreným zdrojom. Podporuje VLAN a obsahuje firewall na lepšie zabezpečenie prevádzky medzi vašimi virtuálnymi sieťami.
Bez ohľadu na to, akú trasu si vyberiete, uistite sa, že podporuje funkcie VLAN, ktoré potrebujete.
Riadený prepínač
Prepínače sú srdcom VLAN sietí. Tam sa deje kúzlo. Na využitie funkcií VLAN však potrebujete riadený prepínač.
Aby sme veci posunuli o úroveň vyššie, doslova, sú k dispozícii riadené prepínače na 3. vrstve. Tieto prepínače sú schopné spracovať určitú sieťovú prevádzku na 3. vrstve av niektorých situáciách môžu nahradiť smerovač.
Je dôležité mať na pamäti, že tieto prepínače nie sú smerovače a ich funkčnosť je obmedzená. Prepínače vrstvy 3 znižujú pravdepodobnosť latencie siete, ktorá môže byť kritická v niektorých prostrediach, kde je dôležité mať sieť s veľmi nízkou latenciou.
Klientske sieťové karty (NIC)
Sieťové karty, ktoré používate na svojich klientskych počítačoch, by mali podporovať 802.1Q. Šance sú, ale je to niečo, na čo by ste sa mali pozrieť, kým sa pohnete vpred.
Základná konfigurácia
Tu je ťažšia časť. Existujú tisíce rôznych možností, ako si môžete nakonfigurovať svoju sieť. Žiadny jediný sprievodca ich nemôže pokryť všetky. V ich srdci sú myšlienky, ktoré stoja za takmer akoukoľvek konfiguráciou, rovnaké, rovnako ako všeobecný proces.
Nastavenie smerovača
Môžete začať niekoľkými rôznymi spôsobmi. Router môžete pripojiť ku každému prepínaču alebo každej VLAN. Ak sa rozhodnete len pre každý prepínač, budete musieť nakonfigurovať smerovač tak, aby rozlišoval prevádzku.
Potom môžete nakonfigurovať smerovač tak, aby spracovával prenos medzi sieťami VLAN.
Konfigurácia prepínačov
Za predpokladu, že ide o statické siete VLAN, môžete vstúpiť do nástroja na správu VLAN svojho prepínača prostredníctvom webového rozhrania a začať priraďovať porty rôznym sieťam VLAN. Mnoho prepínačov používa rozloženie tabuľky, ktoré vám umožňuje začiarknuť možnosti pre porty.
Ak používate viacero prepínačov, priraďte jeden z portov všetkým svojim sieťam VLAN a nastavte ho ako hlavný port. Urobte to na každom prepínači. Potom použite tieto porty na prepojenie medzi prepínačmi a rozložte svoje siete VLAN medzi viacero zariadení.
Pripájanie klientov
Nakoniec, získanie klientov na sieti je celkom samozrejmé. Pripojte svoje klientske počítače k portom zodpovedajúcim sieťam VLAN, na ktorých ich chcete mať.
VLAN doma
Aj keď sa to nemusí považovať za logickú kombináciu, siete VLAN majú v skutočnosti skvelé uplatnenie v domácom sieťovom priestore, hosťovských sieťach. Ak sa vám nechce nastavovať podnikovú sieť WPA2 vo vašej domácnosti a individuálne vytvárať prihlasovacie údaje pre svojich priateľov a rodinu, môžete použiť siete VLAN na obmedzenie prístupu vašich hostí k súborom a službám vo vašej domácej sieti.
Mnoho domácich smerovačov vyššej kategórie a vlastný firmvér smerovača podporuje vytváranie základných sietí VLAN. Môžete nastaviť hosťovskú sieť VLAN s vlastnými prihlasovacími údajmi, aby ste svojim priateľom umožnili pripojiť svoje mobilné zariadenia. Ak to váš smerovač podporuje, hosťovská VLAN je skvelou pridanou bezpečnostnou vrstvou, ktorá zabráni vírusom napadnutému notebooku vášho priateľa, aby pokazil vašu čistú sieť.
